史上最嚴數(shù)據(jù)新規(guī)落地，出海企業(yè)應(yīng)如何應(yīng)對這把懸在頭上的“達摩克利斯之劍”？

近日，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）宣布了一項史無前例的、極為嚴苛的數(shù)據(jù)安全規(guī)定，這一提案主要針對從事受限交易的（科技）企業(yè)，并給出了組織級別和數(shù)據(jù)級別的具體要求，例如，提案要求對所有關(guān)鍵系統(tǒng)實施多因素認證（MFA）。在漏洞側(cè)，已知漏洞須在14天內(nèi)修補，關(guān)鍵漏洞在15天內(nèi)、高風險漏洞在30天內(nèi)修復(fù)「1」。

通過這一提案，CISA希望提升相關(guān)行業(yè)的數(shù)據(jù)安全標準，解決現(xiàn)存的嚴重數(shù)據(jù)安全漏洞。受該提案影響的企業(yè)范圍廣泛，波及大量技術(shù)企業(yè)，例如人工智能開發(fā)商、云服務(wù)提供商、電信公司、生物科技公司、金融機構(gòu)等。

這為本就需要披荊斬棘的中國出海企業(yè)又增加了新的風險因素。不止是美國，聯(lián)合國貿(mào)易和發(fā)展組織數(shù)據(jù)顯示，超過70%的國家制定了相關(guān)的數(shù)據(jù)隱私立法「2」，這對出海企業(yè)在合規(guī)方面提出了更高的要求和更大的挑戰(zhàn)，他們除了需要在技術(shù)合規(guī)和數(shù)據(jù)加密層面進行大規(guī)模投資，還需要在跨國業(yè)務(wù)管理中重新評估數(shù)據(jù)傳輸和存儲的安全性，以減少因政策變動帶來的業(yè)務(wù)中斷和法律風險。

安全合規(guī)

是亞馬遜云科技的第一優(yōu)先級

亞馬遜云科技作為全球云計算的開創(chuàng)者和引領(lǐng)者，始終秉承“安全自主設(shè)計”的理念，并將“安全”作為企業(yè)的“第一優(yōu)先級”。通過制定行業(yè)領(lǐng)先的實踐、技術(shù)和控制措施，并深度融入各個層面，從物理數(shù)據(jù)中心、網(wǎng)絡(luò)設(shè)計、服務(wù)架構(gòu)，為企業(yè)的應(yīng)用程序和數(shù)據(jù)提供強大的安全性和數(shù)據(jù)保護。事實上，僅在過去一年，亞馬遜云科技全球拒絕了超過240億次嘗試攻擊Amazon S3的行為，阻止了近2.6萬億次嘗試發(fā)現(xiàn)Amazon EC2上漏洞的行為「3」。

而作為近80%中國出海企業(yè)的選擇，亞馬遜云科技始終致力于基于自身能力幫助出海企業(yè)修好安全合規(guī)這門“必修課”。亞馬遜云科技分三個階段采取相應(yīng)的應(yīng)對措施：

-建立云安全基礎(chǔ)設(shè)施

落實這一階段的目標，就像為一座大廈打好地基，不論上面建筑外觀如何，地基必須堅實可靠。亞馬遜云科技建議出海企業(yè)參考被廣泛應(yīng)用于北美地區(qū)的NIST框架（或遵循ISO 27001系列標準的130條準則）建立起企業(yè)基礎(chǔ)的安全防護「4」。在建立此安全基礎(chǔ)后，亞馬遜云科技還為企業(yè)提供了全方位的云原生安全服務(wù)，覆蓋預(yù)防、檢測、響應(yīng)、修復(fù)等各個環(huán)節(jié)，企業(yè)可根據(jù)自身需求在各個安全點上進行管控。此外，亞馬遜云科技還提供了安全可視化和持續(xù)監(jiān)控的工具，讓企業(yè)安全負責人能夠時刻掌握安全狀況，如安全分數(shù)、風險評估等，使安全可視化、可持續(xù)、可監(jiān)控。

-保護核心數(shù)據(jù)資產(chǎn)

數(shù)據(jù)安全和合規(guī)性是出海安全合規(guī)中最關(guān)鍵一環(huán)。數(shù)據(jù)是驅(qū)動創(chuàng)新的寶貴資產(chǎn)，而讓數(shù)據(jù)安全地釋放價值，已是企業(yè)的首要工作。在數(shù)據(jù)安全性方面，亞馬遜云科技將安全放在數(shù)據(jù)治理的整個生命周期中看待，通過人、機制和技術(shù)的完整閉環(huán)，來提升數(shù)據(jù)質(zhì)量和利用率，同時滿足數(shù)據(jù)安全和合規(guī)性需求。以識別和保護敏感數(shù)據(jù)和個人數(shù)據(jù)為例，Amazon Comprehend服務(wù)能夠自動識別各類個人數(shù)據(jù)，對該數(shù)據(jù)進行匿名化處理，從而最大限度減少個人數(shù)據(jù)泄露的風險。

在數(shù)據(jù)合規(guī)性方面，亞馬遜云科技支持143項安全標準和合規(guī)性認證，包括PCI-DSS、HIPAA或HITECH、FedRAMP、GDPR、FIPS 140-2和NIST 800-171，以幫助客戶滿足全球各地的合規(guī)要求，對于亞馬遜云科技的合規(guī)標準，運用亞馬遜云科技技術(shù)的客戶可以直接繼承，免掉了諸多合規(guī)成本和溝通成本。

-培養(yǎng)安全人才

出海企業(yè)在創(chuàng)業(yè)初期往往無法擁有資深的安全團隊，但合規(guī)要求強制企業(yè)必須配備相應(yīng)的安全人員。為此，亞馬遜云科技推出了相關(guān)安全項目，通過實訓(xùn)的方式，快速提升企業(yè)內(nèi)部人員的安全能力，讓他們能夠承擔起一定的安全職責。

無論任何產(chǎn)品或技術(shù)，亞馬遜云科技始終堅持的原則是“只做客戶需要的產(chǎn)品”，而任何產(chǎn)品，亞馬遜云科技都會將安全置于第一優(yōu)先級。對于出海企業(yè)來說，安全合規(guī)就像大海上莫測的天氣，當外界環(huán)境不可預(yù)測時，最好的辦法就是依托于一個大體量、安全的船體之上，亞馬遜云科技就是這樣的船體，幫助企業(yè)無懼風浪、順暢開展全球業(yè)務(wù)。

數(shù)據(jù)來源：

【1】：https://www.cisa.gov/sites/default/files/2024-10/Proposed-Security-Requirements-EO-14117-21Oct24508.pdf

【2】：https://unctad.org/page/data-protection-and-privacy-legislation-worldwide

【3】：https://mp.weixin.qq.com/s/aOFyZHhUxXUwuADXi9WWVg

【4】：https://baijiahao.baidu.com/s?id=1802210464830410667&wfr=spider&for=pc